PESpin Dosya Sıkıştırma Uygulaması Kullanılarak Zararlı Yazılım Oluşturma

Sızma testleri sırasında anti-virüslerin atlatılarak hedef sistemin ele geçirilmesi kritik bir aşamadır. Bu yazıda, PESpin dosya sıkıştırma aracı kullanılarak antivirüslere yakalanmayan zararlı bir uygulama oluşturulacaktır.

Dosya sıkıştırma uygulamaları, aslında çalıştırılabilir dosya üzerinde sıkıştırma işlemi gerçekleştirip dosyanın işlevini değiştirmeyen sadece görünümünü değiştiren yazılımlardır. Normal sıkıştırıcılardan (zip, winrar) farklı olarak dosyanın nasıl açılıp yorumlanacağı yeni oluşturulan paketlenmiş dosyanın içerisinde yer alır. Bu yüzden yeni oluşturulan dosyalara kendi başına açılabilir arşiv (self-extracting archive) denilmektedir. Dosya sıkıştırma uygulamalarının, sıkıştırma ve antivirüslerden gizlenme gibi kullanımlarının yanında diğer bir kullanım amacı da tersine mühendislik yapmayı zorlaştırarak yazılımların kaynak kodunun elde edilmesini zorlaştırmaktır.

Dosya sıkıştırma uygulamaları, analiz işini zorlaştırmak için aşağıdaki özellikleri kullanabilirler:

  • Sıkıştırma
  • Şifreleme
  • Tersine mühendislik yöntemlerini zorlaştıran metotlar

Bu yazıda dosya sıkılaştırma uygulamaları ile mimikatz adlı bir zararlı yazılım PESpin adlı bir araçla yeniden paketlenecektir. Mimikatz aracının VirusTotal analiz sonucunda 16 AV tarafından tespit edildiği görülmektedir.

evading-anti-virus-detection-using-pespin-executable-compression-tool-01

PESpin aracı ile mimikatz dosyası seçilir.

evading-anti-virus-detection-using-pespin-executable-compression-tool-02

Sonuçta bu dosya yeniden paketlenir.

evading-anti-virus-detection-using-pespin-executable-compression-tool-03

Paketleme işlemi sonrasında yeni dosyanın 1 AV tarafından tespit edildiği görülmektedir.

evading-anti-virus-detection-using-pespin-executable-compression-tool-04

Yeni uygulamanın işlevselliğinde ise herhangi bir değişiklik olmadığı görülmektedir.

evading-anti-virus-detection-using-pespin-executable-compression-tool-05

 

Kaynaklar:

http://en.wikipedia.org/wiki/Executable_compression
https://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/paketleyiciler-packers-calistirilabilir-sikistiricilar.html

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.